Tietosuoja-asetus astui voimaan toukokuun lopussa. Ennen tuota deadlinea moni organisaatio teki suuren työn tunnistaakseen oman toimintansa puutteet ja laittaaksen prosessit tietosuoja-asetuksen mukaiseksi 25.5.2018 mennessä. Kesän ajan ollaan siis huokaistu helpotuksesta, nostettu jalat pöydälle ja suunnattu levähdyksen jälkeen syksyn alkaessa kaikki energia uusiin haasteisiin?
Valitettavasti ei (vaikkakin monen tietosuojaprojekteissa työskennelleen mielestä tämä ehkä kuulostaa varteenotettavalta vaihtoehdolta), nimittäin viimeistään kevään aikana mukana olleille valkeni, että tietosuojaan liittyvä työ ei ole kertaprojekti. Se vaatii jatkuvaa ylläpitoa ja kehittämistä ja nykymaailmassa tietosuoja tulee huomioida yhtenä osa-alueena yrityksen jatkuvassa riskienhallinnassa.
Helpottaaksemme mahdollista tuskaa aiheeseen liittyen, nostamme tässä kirjoituksessa esiin kolme ajankohtaista teemaa, joiden kautta riskienhallintapäällikkö voi tarkastella aihetta pysyäkseen kartalla siitä, missä suurimmat riskit luuraavat.
Ihmiset
Suurin hype tietosuojan ympärillä on (toistaiseksi) hälventynyt ja nyt pitäisi varmistaa, että henkilöt, jotka dataa käsittelevät, käsittelevät sitä jatkossakin uusien ohjeiden ja prosessien mukaisesti. Monessa yrityksessä datan käsittelyä tehdään eri aikakausilta peräisin olevissa järjestelmissä ja sitä löytyy myös sähköposteista jne. Miten homma pysyy hanskassa kesälomien jälkeen – muistavatko kaikki vielä hienon ja kattavan koulutuksesi sisällön ja toteuttavatko he uutta toimintamallia edelleen pieteetillä?
Havainnointikyky ja varautuminen
Tekninen kyvykkyytesi – tunnetko oman kyvykkyytesi (ja sen rajoitteet) tunnistaa ja tutkia tietomurtotilanteita? Jos dataa katoaa tai epäillään väärinkäytöstä, näetkö järjestelmistäsi mitä tapahtui ja milloin?
Kriisijohtaminen – onko jatkuvuuden hallinnan prosessisi päivitetty sisältämään skenaario henkilötietomurrosta? Onko organisaatiosi aidosti kykenevä toimimaan prosessin mukaisesti ja tuottamaan tietoa säännösten vaatimalla tavalla?
Muutoksen hallinta
Vietit ehkä viime kevään (tai jo sitä edeltävän vuoden) etsimällä ja kuvaamalla kaikki ne prosessit, joissa organisaatiossasi dataa käsitellään. Ja hyvä niin, olit valmis toukokuun 25. päivä. Paitsi että sitten on se pikkujuttu, eli elämä toukokuun jälkeen.
Organisaatiossasi on varmasti jo suunnitteilla muutoksia. Onko tietosuoja mukana, kun organisaatiossasi suunnitellaan uusia prosesseja, kehitystiimit valmistautuvat lanseeraamaan uusia tuotteita tai nettisivuillenne suunnitellaan lisättäväksi uusia analytiikkatyökaluja? Miten varmistat sen, että toiminta on jatkuvien muutostenkin keskellä aina tietosuoja-asetuksen mukaista?
Jos nämä kolme näkökulmaa ovat hanskassa ja sinulla on luottavainen olo niiden suhteen – onneksi olkoon, jatka samaan malliin! Jos taas tunnet huolen kouraisevan vatsanpohjaa jonkin kohdalla, on aika perehtyä asiaan tarkemmin eli kuvata riskit oman organisaatiosi kannalta ja miettiä niihin korjaavat toimenpiteet. Tulisiko henkilöstölle esimerkiksi laatia vuosittainen koulutusohjelma tietosuojaosaamisen ylläpitämiseksi, olisiko jatkuvuudenhallintaa syytä harjoitella tai kartoittaa millaisia tietosuojasyötteitä muutoksenhallinnan prosesseihin olisi mahdollista lisätä?
Mukavia ja työntäyteisiä hetkiä tietosuojan parissa!
Jätä kommentti